越南《个人数据保护法》草案（“草案PDPL”）的第一稿于2024年9月24日发布，公开征求意见至2024年11月24日（详情见此处）。预计该草案将在2024年底前提交国会，并将在2025年5月提交通过，计划于2026年1月1日生效。由于草案PDPL包含了大部分《2023年第13号法令/ND-CP》（“PDPD”）的条款，而PDPD自2023年7月1日生效以来一直是个人数据保护的主要法律工具，因此草案PDPL生效后可能会取代PDPD。 请注意，在公众咨询期结束后，草案可能会有进一步的修改。草案PDPL对多项服务提出了新的具体要求。当前版本的一些亮点包括： 营销服务：尽管营销服务已经在PDPD下受到监管，但草案PDPL现在承认，使用个人数据进行营销必须遵守反垃圾邮件法规。当前草案并未明确规定在反垃圾邮件制度下，组织是否可以在初次通话或消息中免于获得同意。营销服务提供商不得将服务外包给其他组织来执行或支持营销业务的实施，这可能会阻止个人数据的共享。 行为广告：行为广告（基于用户活动或个人数据的定向个性化广告）需要数据主体的同意，并且这种同意必须是可修改的，允许数据主体在不同的情境下拒绝共享数据。与营销服务一样，广告服务提供商只能使用通过其业务活动收集的个人数据来提供其广告服务。 大数据处理：组织可以自由利用数据主体在平台上公开的个人数据（这似乎允许处理任何公开可用的数据，只要数据主体不限制使用），只要收集的数据仅用于符合法律规定的业务活动。草案《个人数据保护法》规定，社交网络账户或OTT服务注册的信息不被视为公共数据，未经同意不得处理。 人工智能：组织有权将个人数据用于机器学习算法、人工智能及其他自动化系统的研究与开发，但须向数据主体告知（包括解释算法、人工智能或自动化系统对数据主体合法权益的影响），并应提供数据主体选择退出的权利。 云计算：根据《个人数据保护法》（草案），现要求云服务提供商的客户在云计算合同中包含某些内容，特别是云服务提供商仅为客户的利益并代表客户处理其数据（这与数据处理者的定义非常接近）；必须明确规定赔偿损害的条款；列出安全、技术和组织措施；并确保实施技术措施，以合理分散数据访问权。此外，云服务提供商必须遵守影响评估文件的要求，并遵守关于个人数据保护的相关规定；设立数据保护部门；要求分包商遵守个人数据保护法规；并根据处理的规模和水平采取适当的技术和组织措施。 劳动与招聘：当使用技术手段监控员工时，组织必须确保数据主体的权利和利益，特别是员工必须知情并同意此类监控，且监控不得违反法律。《个人数据保护法》（草案）确认，员工必须同意处理其个人数据——这一规定与欧盟的做法不同，并未采纳员工由于与雇主之间的权力不对等关系可能导致其同意不具有自愿性的观点。对于在全球员工数据库系统中的集团内部数据共享，法律实体必须证明个人数据的收集和处理是合法的，员工则需对其提供信息的合法性负责。此外，草案还指出，员工同意将个人数据共享给集团的一个实体并不代表同意共享给集团的其他实体，每个实体的情况将独立考虑。 金融、银行及信用信息服务：金融机构、信用机构与信用信息机构之间禁止买卖信用信息，亦禁止发送或传输与数据主体相关的未加密金融和信用数据。使用数据主体的信用信息进行信用评分时，必须获得其明确同意。信用信息评估的结果只能是二元形式（如通过或不通过；是或否；真或假等），或基于从金融机构、信用机构、银行或信用信息机构的客户直接收集的数据库的评分方式。在处理的特定阶段，必须采取去标识化措施。信用信息服务/产品仅可提供给金融机构、银行及信用机构，且需遵守法律规定。 健康与保险：在收集和处理健康及保险信息时，必须获得数据主体的同意。健康领域的组织不得向医疗服务提供者或保险提供者提供个人数据，除非数据主体以书面形式提出请求。这表明，仅依赖数据主体的同意可能不足以进行此类共享，健康信息的共享只能由数据主体的请求发起。在再保险背景下的健康信息共享，任何数据传输都必须在与数据主体的合同中明确说明。 一般B2C业务：合同中必须包含个人数据保护条款，明确规定各方的责任、权利和义务。 《个人数据保护法》（草案）还认可了以下新型服务：(i) 个人数据保护信任评级机构，(ii) 个人数据保护组织和专家（尤其是“数据保护官服务”即DPO-as-a-service），这明确表明外包数据保护部门和数据保护官（DPO）是被接受的。   个人数据保护信任评级机构 个人数据保护信任评级机构评估组织全面遵守个人数据保护法规的能力。该评估将分析风险因素及其对履行个人数据保护义务能力的影响，重点涵盖市场和商业环境风险、技术风险、治理风险、人员风险及财务风险。评估结果将分为四个等级——“高度信任”、“信任”、“通过”和“未通过”，并将结果报告给“信任评级委员会”（该术语在《个人数据保护法》（草案）中尚未定义）。 组织必须满足某些资格要求才能获得提供信任评级服务的证书，这些要求包括但不限于以下方面： 注册资本不少于 50 亿越南盾； 至少具备一年个人数据保护领域的工作经验； 至少雇佣三名合格的个人数据保护信任分析师。 根据《个人数据保护法》（草案），所有处理敏感个人数据的组织必须获得信任评级。鉴于敏感个人数据的广泛定义，其中包括在雇佣关系中必须处理的个人数据（例如用于工资支付的个人数据），这一要求实际上将适用于所有组织。   个人数据保护专家和组织 个人数据保护专家（“PDP专家”）被定义为具备技术和/或法律能力的人员，由特定的处理实体任命，担任个人数据保护专员（即数据保护官）。PDP专家必须从认证机构获得资格证书，认证机构的职责是确保PDP专家具备足够的能力胜任其角色。公安部（MPS）将依赖经许可的认证机构向合格的PDP专家颁发资格证书，合格的PDP专家至少应持有相关领域的大学学位，并完成数据保护认证课程。 个人数据保护组织（“PDPO”）是指可以由特定数据处理实体（包括数据控制者、数据控制处理者、第三方、数据转让者和数据接收者，但不包括数据处理者）指定为其个人数据保护部门的实体。PDPO为其指定的实体提供个人数据保护服务，以满足其数据保护需求。公安部（MPS）将负责向PDPO颁发许可证，前提是PDPO必须至少雇佣一名具备技术和/或法律能力的PDP专家；从事与技术和/或法律相关的职能、任务、业务领域或行业；并获得“通过”或以上的信任评级。 《个人数据保护法》（草案）对从事数据处理服务的企业提出了新的要求，该业务现在被定义为一种有条件的业务类型（包括任何为数据控制者处理数据的数据处理者）。这些要求尤其包括：至少拥有一名技术和法律专家（或分别拥有一名技术专家和一名法律专家）；注册与技术或法律服务相关的业务，或与个人数据保护相关的技术或法律咨询业务；并获得“通过”或以上的信任评级等级。   展望  总而言之，《个人数据保护法》（草案）认可了新的数据保护服务，似乎旨在通过PDP专家和PDPO的认证机制及信任评级机构建立信任，并为各行业制定具体的个人数据保护规定。鉴于越南在个人数据保护方面的意识仍然较低，这些新服务及行业特定的规定可能有助于公安部（MPS）在能力建设方面的努力。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/vietnams-draft-personal-data-protection-law-an-in-depth-look/

2024年10月1日，泰国内阁对国家反腐败委员会（NACC）提出的有关防止网络赌博腐败的建议表示认可。泰国数字经济与社会部（MDES）被指定为牵头机构，与各相关部门合作，就网络赌博相关法律的修订和更新达成共识。 在指派数字经济与社会部（MDES）担任此角色时，内阁强调了以下关键事项的重要性： 成立国家委员会。国家委员会将由一名部长担任主席，成员包括相关机构，如政策制定机构、技术机构、频率管理机构、执法机构以及其他专家。委员会的主要职责是审议网络赌博相关法律的修订和更新。 网络赌博的紧急行动。由于网络赌博被视为一个需要紧急处理的严重问题，各相关机构如泰国皇家警察、泰国银行和反洗钱办公室将共同制定政策，以提升对网络赌博问题的重视。 公众意识与执法。将开展公众意识宣传活动，教育公众了解网络赌博的风险及其法律后果，并严格执行有关网络赌博及相关金融犯罪的法律。 遵守《网络安全法》。必须确保严格遵守《泰国网络安全法E. 2562 (2019)》，同时将政府数据系统迁移至云计算，以加强数据安全。   下一步行动 数字经济与社会部（MDES）负责总结相关讨论的结果、已采取的行动以及总体意见，并将总结报告提交给内阁秘书处，供内阁进一步审议。 这些措施旨在应对和减轻与网络赌博及相关腐败的风险。鼓励各相关方及时了解这些修订的进展，并参与即将开展的公众意识宣传活动。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/thailand-amends-online-gambling-laws/29/

泰国数字经济与社会部（MDES）下属的个人数据保护委员会（PDPC）宣布根据《个人数据保护法》B.E. 2562（2019）（PDPA）做出的首例行政罚款裁定。一家大型私营公司因未遵守PDPA的特定规定，导致个人数据未经授权泄露给诈骗电话团伙（电话诈骗犯），被罚款700万泰铢。 不合规的主要发现 个人数据保护委员会认定，该公司存在三项违反《个人数据保护法》特定要求的主要违规行为： 未任命数据保护官（DPO）：尽管该公司在其核心业务中处理了超过10万人的个人数据，但未按要求任命数据保护官。 安全措施不足：该公司未采取必要的安全措施，导致数据泄露事件，涉及电话诈骗团伙，造成广泛损害。 数据泄露通知延迟：该公司未在规定的时间内向相关当局通报数据泄露事件，也未及时处理该事件，致使问题无法得到有效解决。 除罚款外，个人数据保护委员会及《个人数据保护法》专家委员会还发布了整改命令，要求该公司采取以下行动，并在接到命令后七天内向PDPC办公室报告相关的整改措施： 实施最新的安全措施：该公司必须改进现有的安全措施，以防止未来的数据泄露，并确保这些安全措施与不断变化的技术同步更新。 提高员工意识：公司必须对相关人员进行培训，确保其了解数据合规性和数据保护的实践。 这一重大行政行动为泰国政府和商业部门处理数据泄露事件树立了先例，同时也确认了遵守《个人数据保护法》的重要性，特别是加强安全措施、及时进行数据泄露通知以及任命专职数据保护官的必要性。 此次罚款凸显了与不合规相关的财务和声誉风险。各组织不仅需要完善的数据保护措施以遵守法规，还需通过保护个人数据来维护公众信任。 这一具有里程碑意义的裁决为泰国的数据保护与合规设立了新的标准。凡在泰国运营或与泰国有业务联系的企业，应重新审视其数据保护策略，确保其符合最新法律要求，避免今后出现类似的违规行为及相关处罚。   注意：本文为英文文章的中文翻译。原文请参见以下链接。 www.tilleke.com/insights/landmark-fine-imposed-under-thailands-personal-data-protection-act/

对于希望获得竞争优势的企业来说，保护家用电器等消费品的美学特征至关重要，尤其是在泰国、越南和印度尼西亚这些充满活力的市场。工业品外观设计注册（或泰国的外观设计专利） 为保护产品的独特性和装饰性设计提供了有效的手段，确保其独特的外观不被竞争对手模仿。本文概述了泰国、越南和印度尼西亚的外观设计制度，以及企业和权利人需要考虑的一些关键因素。 这三个国家都采用审查制度来评估外观设计保护申请。虽然这三个国家都是《巴黎公约》的成员，但只有越南完全的完成了成为《海牙协定》成员的过程。下表对这三个国家的设计系统进行了总体比较，并在随后的章节中提供了更多细节。   泰国 泰国的外观设计专利申请实行审查制度。外观设计专利的保护期为自申请日起 10 年。新颖性要求是外观设计专利申请的基本要素。泰国审查员会进行检索，确定外观设计的新颖性以及其他要求。如果审查员认为外观设计缺乏新颖性，则可能会出具审查报告和驳回决定，从而可能导致专利委员会的上诉程序。为避免这种复杂情况，申请人应通过保密和对外观设计进行现有技术检索来保护其外观设计的新颖性。 与印度尼西亚不同的是，泰国既不提供多次外观设计申请，也不提供部分外观设计申请。宽限期机制允许发明人在一定时间内公开披露其作品而不丧失新颖性，但仅限于由泰国政府赞助或授权并在泰国举办的展览。因此，宽限期不适用于发明人或申请人在任何其他渠道上的公布。因此，宽限期不能适用于发明人或申请人在任何其他渠道上的公开。虽然有关专利法的拟议修正案允许部分或相关设计申请并扩大宽限期机制，但这些仍在通过立法程序的过程中。 近年来，外观设计专利申请的形式审查要求越来越严格。审查员可能会发出审查意见书，要求修改图纸，使线条足够清晰明了，没有模糊或阴影部分。对于与电器有关的外观设计，也可能需要对外观设计的名称和权利要求书中标明的名称提出要求，以确保名称针对的是外观设计的基本特征。申请人可以通过使用在线数据库进行研究或咨询当地法律顾问，来减轻这些潜在问题。   越南 家用电器设计的所有者可以通过向越南知识产权局提交国家外观设计申请或直接向世界知识产权组织（WIPO）提交指定越南的国际外观设计申请或间接通过《海牙协定》缔约方的办事处来在越南申请外观设计权。 越南 2022 年的《知识产权法》将 “工业品外观设计”重新定义为产品或其部件组装成复杂产品的外观，形状、线条、颜色或其组合表示，并在利用产品或复杂产品的实用性过程中可见。 在越南获得外观设计权的两种选择详述如下。 越南国内设计申请 由于越南是《巴黎公约》的签署国，申请人有权享有自其他司法管辖区相应申请的提交日期起六个月的公约优先权期。根据越南《知识产权法》的规定，申请的工业品外观设计如果在前六个月内未经有权注册者的许可而公布，或由该人在科学报告中公布，或由该人在越南国家展览会或官方或正式认可的国际展览会上展出，则被视为未失去新颖性。 外观设计申请必须包括清晰、详细的外观设计图纸或照片，以及对外观设计的描述。外观设计的标题还必须标明工业品外观设计申请的物品。 有效的外观设计申请可以在越南公布，然后进行实质审查。获得外观设计证书后，其有效期为自申请之日起五年，可连续续展两个五年期。 指定越南的国际设计申请 《工业品外观设计国际注册海牙协定》（1999年7月2日日内瓦法案）于2019年12月30日在越南正式生效。海牙体系用户现在可以在国际外观设计申请中指定越南。 越南不在本国官方公报上公布国际外观设计注册。但是，国际外观设计申请可以在越南进行实质审查。如果知识产权局发现任何缺陷，将在国际公告之日起六个月内发出驳回通知。然后，申请人有三个月的时间提交对驳回的答复，并可单次延期三个月。 如果没有发现缺陷，或所有发现的缺陷都已得到纠正，知识产权局将签发声明，给予外观设计保护。保护期为自注册之日起 15 年。 越南的国际外观设计申请选项与泰国和印度尼西亚不同，这两个国家目前不是海牙体系的指定国。这些国家必须通过各自的国家途径提出申请。   印度尼西亚 在印度尼西亚，工业品外观设计申请的实质审查是新颖性审查。如果工业品外观设计在申请日与之前的任何公开内容不相同，即与印尼境内外其他申请的申请日或优先权日之前的任何披露内容不相同，则该工业品外观设计具有新颖性。 印度尼西亚确实提供多项外观设计申请，涵盖构成统一工业品外观设计或属于同一分类的一组工业品外观设计。同一工业品外观设计的不同实施例必须分别提出申请。 也可申请部分外观设计。未申请的设计部分应以虚线表示。 在工业品外观设计申请日之前有六个月的宽限期，在此期间，该外观设计仍被视为保持其新颖性。为了享受这一宽限期，工业品外观设计必须已在国内或国际上举办的官方展览中展示过，或者外观设计人已将该工业品外观设计用于教育、研究或开发目的的实验中。 工业品外观设计不收取年费，保护期为自申请之日起 10 年。在印度尼西亚，未注册的工业品外观设计不受保护。   为何要注册外观设计？ 在快速发展的家用电器创新领域，保护外观设计的独特性是一个重要的考虑因素。泰国、越南和印度尼西亚作为工业增长和技术进步的地区推动者，为制造商和设计者提供了通过注册保护其创意资产的重要机会。除了法律保护之外，注册工业品外观设计还能促进市场差异化，增强品牌形象和消费者忠诚度。通过投资保护其工业设计，公司可以确保竞争优势。家用电器行业的未来不仅取决于技术进步，还取决于保护定义它的美学的远见。通过投资于工业品外观设计的保护，企业可以确保竞争优势。家用电器行业的未来不仅取决于技术的进步，还取决于保护美学的远见卓识。